Cisco V@P@N Network Design
با عرض سلام خدمت دوستان ارجمندم
با توجه به سئوالاتی که معمولا در طی ماه برای بنده ارسال می شود این بار تصمیم گرفتم به یکی از آنها که دغدغه خیلی از دوستان بوده ، به اجمال پاسخ دهم . در مورد V!@P!@N در تکنولوژی سیسکو سئوال فرموده بودند . در واقع سیسکو این تکنولوژی ارتباطی را که به منظور بر قرار ارتباط امن ما بین دفاتر سازمانها و شبکه ها بود را در دو بخش اعلام و طبقه بندی می کند :
اول ( Enterprise V@P@N ) و دوم ( Service Provider V@P@N ) .
Enterprise V@P@N :
- IP Sec
- Cisco Easy V@P@N
- Generic Routing Encapsulation ( GRE )
- Dynamic Multipoint Virtual Private Network ( DMV@P@N )
- Virtual Tunnel Interface ( VTI )
- Layer 2 Tunneling Protocol Ver:3 ( L2TPv3 )
Service Provider V@P@N :
- Multiprotocol Label Switching ( MPLS )
- Metro-Ethernet
- Virtual Private Lan Service ( VPLS )
حال توضیحاتی مخنصر در خصوص هر کدام ارائه می گردد تا آشنایی جهت سرچ بیشتر پیرامون مطالب سهل و آسان گردد :
( IPsce )
در واقع برای ارتباط کاملا ایمن مابین دو سایت ( Site to Site ) و یا افراد و سایت ها
( Remote Access ) مورد استفاده قرار می گیرد . پیاده سازی بسیار پیچیده و کدینگ زیادی دارد .
( Easy V@P@N )
در واقع به نوعی ( IPsec ) ی است که فقط Config سمت User را آسان کرده است و تمامی اصل Config در سمت دفاتر مرکزی سازمان ها توسط متخصصین انجام می شود .
( GRE )
یک روش تانلینگ بسیار نا امن ولی دارای قابلیتهای بسیار کارا در ارتباطات می باشد که IPsec فاقد آن قبلیت هاست . بطور مثال بر روی GRE می توان موارد ذیل را پیاده سازی کرد که در IPsec وجود ندارد :
- Qos بر روی Tunnel
- Redundancy
- ارسال ترافیک Multicast
- پیاده سازی Routing Protocols مانند OSPF و EIGRP
نکته )
کلیه مزایای بالا در هیچکدام از تکنولوژی های IPsec و Easy V@P@N وجود ندارند .
برای حل این مشکل که هم ارتباط امن باشد و هم دارای مزایای بالا باشـــــــــــد تکنولوژی بعدی معرفی شد :
( DMV@P@N - دی ام وی پ ی ان )
یعنی به نوعی از تانلینگ GRE استفاده می شود تا مزایای آن کاربردی باشد و برای ایمن کردن آن تانل از IPsec بهره مند شدیم . یعنی شاید بتوان گفت : ( GRE Over IPsec ) . فقط نکته ای جدید بدان اضافه گشت که در تکنولوژی های قبلی فقط می شود 2 نقطه را به هم وصل نمود ولی در این تکنولوژی می توانیم چند نقطه را به هم وصل کنیم و نیازی نیست که برای هر ارتباط یه ناتل جداگانه داشته باشیم .
( VTI )
همان IPsec است که قابلیت های GRE بدان اضافه شده است . یعنی فقط 2 نقطه را به هم وصل می کند ولی روی تانل GRE که بتوانیم از همه توانایی های GRE استفاده کنیم . در واقع مشکل روش IPsec را VTI بر طرف می کند .
( L2TPv3 )
در واقع یک تانل لایه 2 ایی خواهد بود . مثلا اگر بخواهیم 2 شبکه LAN را بشکل لایه 2 ایی بصورت ایمن متصل کنیم می توانیم از L2TPv3 استفاده کنیم .
در ادامه به V@P@N هایی اشاره می شود که مبتنی بر وجود یک Service Provider می باشند ، یعنی در صورتیکه تامین کننده سرویس این بستر را پیاده سازی کرده باشد امکان پیاده سازی آن میسر می شود .
( MPLS-V@P@N )
بدین صورت که Provider ی وجود دارد که بستر و زیرساخت MPLS را آماده کرده است و کلیه مشتریان یا دیگر دفاتر سازمان ها بوسیله لینک های فیزیکی مجزا به بستر Provider متصل شده اند . این سطور بدان معنیست که این Provider است که ارتباط میان دفاترمان را بر قرار می کند و این ارتباط بصورت لایه 3 ایی بر قرار می شود .
( VPLS )
در واقع همانند MPLS-V@P@N است با این تفاوت که ارتباط ما بین دفاتر لایه 2 ایی خواهد بود و مانند روش فوق نیازمند یک بستر MPLS در سمت Provider خواهد بود .
( Metro-Ethernet )
به نوعی گسترش دادن ارتباط اترنت مشترکان در تکنولوژی WAN خواهد بود . که خودش به
2 صورت امکانپذیر خواهد بود :
اول ) اینکه زیرساخت مخابرات اترنتی باشد .
دوم ) اینکه زیرساخت مخابرات MPLS باشد تا بتوان بوسیله روش VPLS اترنت را گسترش داد .
نکته آخر )
دوستان سئوال کردند که این تنظیمات در کجاها اعمال می شود ؟
پاسخ )
کلیه ی این Config ها بر روی روترهای لبه سازمان ( Edge ) صورت می پذیرد .
امیدوارم که این توضیحات مقبول شما واقع گردد . فدای دوست
لینک مفید برای مطالعه بیشتر :
http://www.cisco.com/en/US/tech/tk436/tk428/technologies_configuration_example09186a00801445fb.shtml
- ۰ نظر
- ۰۴ بهمن ۹۲ ، ۱۳:۰۴
- ۸۵۱۳ نمایش